原创:“虚拟定位”APP案件法律适用
2024-11-27 14:56:0 Author: mp.weixin.qq.com(查看原文) 阅读量:7 收藏

“虚拟定位”APP案件法律适用

XY爸爸 20221118

对于移动终端,常见的是通过GPS、基站、WiFi、IP等不同方式进行定位,并应用于地图导航、餐饮外卖、社交软件、旅游酒店、定点打卡等不同场景,为日常工作、生活带来了便利。事有两面,近年来,网络上各类具有“虚拟定位”功能的软件层出不穷,用歪了也可能涉嫌违法犯罪。

01

应用场景

法与不法,一念之间。为了提升趣味性、实用性,可以通过虚拟定位在特定位置发朋友圈、定位到旅游目的地搜索周边美食、搜索周边好友了解风土人情,也可以通过虚拟定位突破网络游戏地域限制,虚假抢单薅平台羊毛骗取补贴,解除无人机禁飞,甚至通过虚拟定位进行诈骗、敲诈(酒托、茶托)、组织卖淫等刑事犯罪。法与不法,需视不同主体的具体行为而定,不同APP的技术原理不同也有区别。

02

典型案例

案例1.最高人民法院指导案例104号:李森、何利民、张锋勃等人破坏计算机信息系统案
西安市长安区环境空气自动监测站(以下简称长安子站)系国家环境保护部(以下简称环保部)确定的西安市13个国控空气站点之一,通过环境空气质量自动监测系统采集、处理监测数据,并将数据每小时传输发送至中国环境监测总站(以下简称监测总站),一方面通过网站实时向社会公布,一方面用于编制全国环境空气质量状况月报、季报和年报,向全国发布。长安子站为全市两个国家直管监测子站之一,由监测总站委托武汉宇虹环保产业股份有限公司进行运行维护,不经允许,非运维方工作人员不得擅自进入
2016年2月4日,长安子站回迁至西安市长安区西安邮电大学南区动力大楼房顶。被告人李森利用协助子站搬迁之机私自截留子站钥匙偷记子站监控电脑密码,此后至2016年3月6日间,被告人李森、张锋勃多次进入长安子站内,用棉纱堵塞采样器的方法,干扰子站内环境空气质量自动监测系统的数据采集功能。被告人何利民明知李森等人的行为而没有阻止,只是要求李森把空气污染数值降下来。被告人李森还多次指使被告人张楠、张肖采用上述方法对子站自动监测系统进行干扰,造成该站自动监测数据多次出现异常,多个时间段内监测数据严重失真,影响了国家环境空气质量自动监测系统正常运行。
判决认为:环境质量监测系统属于计算机信息系统。用棉纱等物品堵塞环境质量监测采样设备,干扰采样,致使监测数据严重失真的,构成破坏计算机信息系统罪。
案例2.《人民司法》2021年第20期(案例):张超杰破坏计算机信息系统案
北京市海淀区人民法院一审:(2020)京0108刑初450号
北京市第一中级人民法院二审:(2021)京01刑终332号
被告人张超杰于2017年至2019年在海淀区运营北京得牛科技有限公司期间,开发大牛助手APP,并通过互联网推广该APP10万余人次。大牛助手APP可对被害单位阿里巴巴(中国)有限公司开发的钉钉系统处理、传输的地理位置数据进行未授权的干扰,破坏钉钉系统获取用户真实地理位置的功能。一审法院认定,大牛助手APP经鉴定为破坏性程序,但二审未予认定。
评析提炼:1.大牛助手软件不是破坏性程序。能够实现内部干扰行为的程序,在技术层面才是破坏性程序,大牛助手APP未触及钉钉系统内部;2.大牛助手ZPP具有著作权,司法机关不宜将获得著作权的软件直接评价为破坏性程序;3.虽然大牛助手APP不是破坏性程序,但具有干扰钉钉计算机信息系统功能,参考案例1最高人民法院指导案例104号,这种干扰构成破坏计算机信息系统罪
案例3.北京一中院庞银平等提供侵入、非法控制计算机信息系统程序、工具案
案号:(2018)京01刑终233号
2015年8月,被告人庞银平成立某通讯中心,后招募被告人陈玮、贾生辉、肖艳红为其中心工作人员。2016年5月至8月间,被告人庞银平伙同陈玮、贾生辉、肖艳红,从他人处购买“滴滴司机助手”(又名“终极神器”)软件后通过某通讯中心对外销售。其间,被告人刘光亮负责代理、推广并销售上述软件。经核实,上述五名被告人因销售“滴滴司机助手”软件,违法所得共计人民币48200元。
滴滴司机助手”对“滴滴司机”软件与服务器间传输的数据进行修改,实现“拒单”、“改变接单地点”等目的而不受平台处罚。经鉴定,滴滴司机助手”软件是基于“滴滴司机”手机应用开发的软件,完全包含“滴滴司机”的全部功能,并且完全一致,在实现“滴滴司机”全部功能的基础上还可以进行“设置虚拟位置”、“接单、拒单”、“乘客筛选”三大功能,并可以详细设置参数,达到改变接单地点、拒绝接单、乘客筛选的目的。

03

案例对比,区分主体

案例1:涉案工具为棉纱,手段为用棉纱堵塞采样器干扰子站内环境空气质量自动监测系统的数据采集功能,罪名为破坏计算机信息系统,实施干扰采集功能行为的主体为环境监测站维护人员,被告人为实施干扰采集功能行为的主体为环境监测站维护人员。
案例2:涉案工具为大牛助手APP,手段利用大牛助手虚拟定位,干扰钉钉获取用户真实地理位置实现异地打卡,罪名为破坏计算机信息系统,实施干扰行为的主体为钉钉用户(虚假地理数据由钉钉用户具体设置),被告人为大牛助手开发运营者(工具提供者)。
案例3:涉案工具滴滴司机助手”(又名“终极神器”)手段为利用滴滴司机助手”对“滴滴司机”软件与服务器间传输的数据进行修改,实现“拒单”、“改变接单地点”等目的而不受平台处罚。罪名为提供侵入、非法控制计算机信息系统程序、工具罪,实施数据修改行为的主体为购买“滴滴司机助手”的滴滴司机,被告人为“滴滴司机助手”开发运营者(工具提供者)
且不考虑涉案软件本身是否具有破坏、干扰、侵入、非法控制计算机信息系统的功能,对比发现,案例2中破坏计算机信息系统罪的犯罪主体(被告人)、犯罪行为(干扰行为)的实行行为主体匹配错误。案例2评析意见,借鉴了案例1最高人民法院指导案例104号,但案例1的被告人系实施干扰环境空气质量自动监测系统采集功能的维护工作人员,即干扰行为的实行行为人,而案例2则将并未直接实施设置虚假定位干扰钉钉的大牛助手开发运营者列为破坏计算机信息系统罪的被告,也未释明大牛助手运营开发者和使用大牛助手的钉钉用户之间的犯意联络,作为破坏计算机信息系统的被告人——大牛助手开发运营者,仅仅是干扰软件的提供者,而钉钉用户才是被判决认定为干扰这一破坏计算机信息系统的实行行为人。
而上述混淆,不仅使案例2的判决与最高院指导性案例存在本质差异,也造成北京一中院在短短三年件,对于同样的提供虚拟定位软件的开发运营者,分别判定构成破坏计算机信息系统罪和提供、侵入非法控制计算机信息系统程序、工具罪。

04

技术分析,掌握原理

原理简述
网络检索相关资料,虚拟定位技术原理的实现,因移动终端操作系统的不同,略有区别。概括而言,就是通过获取权限(ROOT、越狱)、调用API接口(开放和调用API接口为软件开发普遍做法)、
(一)安卓系统相对开放,虚拟定位的更为便捷,实现方式更为多样
(1)基于开发者模式,使用Android系统自带的调试API,模拟GPS Provider的结果,从而实现模拟位置的功能。即利用手机自带的位置模拟功能,修改用户获取的位置信息;Android 6.0以上的系统中开发者模式中去除了”允许模拟器位置“选项,但是增加了”选择模拟位置信息应用“选项(2)基于Hook方式,对手机Root,利用Hook框架拦截系统或者地图类SDK获取位置信息的API,用伪造的位置数据替换原有的位置数据;(3)基于虚拟容器,将APP安装在虚拟容器内,通过虚拟容器将应用注册到虚拟空间中,虚拟容器中自带Root权限,宿主机无需Root,利用Hook框架拦截系统或者地图类SDK获取位置信息的API,用伪造的数据替换原有的位置数据;(4)基于模拟器,将APP安装在模拟器内,利用模拟器提供的位置修改功能修改模拟器的位置信息,从而实现模拟位置的功能;(5)基于修改系统源码,修改Android系统源码并编译打包,将系统中获取位置信息的API暴露出来,暴露的接口可以接收外部自定义的位置信息。当APP调用获取位置相关的API时,可以通过暴露的接口传入指定的位置信息,从而实现模拟位置的功能。

(二)IOS系统

IOS为封闭系统,需要通过越狱或外接具有Mfi认证(苹果公司授权配件厂商生产的外置配件使用许可)外置的GPS设备结合虚拟定位APP使用,即“越狱+虚拟定位APP”或“外接Mfi认证设备+虚拟定位APP”两种方式。

05

规范分析,厘清关系

(一)定位行为的本质是信息采集
从规范层面抽象,移动终端APP获取位置信息的过程,是一个个人信息的采集过程,受《中华人民共和国个人信息保护法》、《网络安全法》、《常见类型移动互联网应用程序必要个人信息范围规定》等规范调整,需要厘清信息采集、处理者(APP等开发运营者)和被采集者(APP用户)两者之间的关系。除了基于法律法规的强制性要求之外,APP开发运营着和用户之间处于平等地位,信息的采集和被采集基于双方合意,双方的权利义务的履行置于协议、合同框架之内。
《中华人民共和国个人信息保护法》第十三条规规定,符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(七)法律、行政法规规定的其他情形。以上第二项至第七项规定情形,并不需取得个人同意。
(二)法律法规强制性规定之外的信息采集者与被采集者,是基于合意的协议、合同双方
强制性规定之外的信息采集者与被采集者之间,权利义务基于合意、源于约定,一方不履行、不如实履行构成民事违约。对于被采集者即APP用户而言,位置信息属于其个人信息,个人是其自身位置信息的权利人。从APP服务协议条款约定来看,后果也仅仅是可能无法享受相应的服务;提供虚假位置信息,对于采集者即使存在某种间接性的危害,也仅限于APP用户个体本身,影响微乎其微。从本质上看,被采集者虚拟定位的行为,修改的是属于自己的个人信息,在强制性范畴以外,仅属民事违约,不具有行政、刑事违法性。
(三)信息被采集者的真实性义务及后果
《中华人民共和国个人信息保护法》、《网络安全法》、《移动互联网应用程序(App)个人信息安全测评规范》、《常见类型移动互联网应用程序必要个人信息范围规定》等规范性文件关于真实性的条款,仅有两个方面:一是基于国家法律法规强制性规定的实名制要求,个人身份信息真实;二是采集主体处于信息安全、被采集者知情权告知事项应当真实。而基于互联网个人信息采集应当征得个人同意的基本原则,被采集主体对于个人位置信息仅仅是允许采集者采集,而不具有对个人被采集信息的真实性保证义务。而且,个人位置信息,在绝大多数场景下,并不属于“必要个人信息范围”。如《常见类型移动互联网应用程序必要个人信息范围规定》中,将个人位置信息作为必要个人信息范围仅包括地图导航类、网络约车类、用车服务类三种。
一般情况下,APP用户不提供位置信息仅导致对应的服务受影响,不提供和提供虚假位置信息的效果并不相同,也未必导致双方协议、合同约定的目的无法实现。以微信服务协议为例:若国家法律法规或政策有特殊规定的,用户需要提供真实的身份信息。若提供的信息不完整,则无法使用本服务或在使用过程中受到限制。但是否受限以及双方协议、合同约定目的是否可以实现,需视具体情形而定,如拟到某地旅游,微信用户可以通过虚拟定位到该地搜索周围好友了解情况,并不影响约定目的实现。
基于法律法规的强制性规定,个人对身份、位置信息的真实性义务仅举一例:刑事执行中使用社区矫正的罪犯,在“司法矫正APP”运行过程中,就对个人位置信息采集具有真实性义务。如重庆市石柱土家族自治县人民法院(2020)渝0240刑更4号刑事裁定:罪犯刘洪波自2020年4月至2020年8月期间,未经社区矫正机关批准不假外出至四川省成都市和重庆主城,多达五十余天。同时不假外出期间,通过在网上购买相关软件非法篡改“司法矫正APP”时间及定位位置,逃避社区矫正监管,严重违反社区矫正监督管理规定。在违反法律法规强制性规定的情况下,行为人无疑要承担相应的法律责任。

06

技术中性,因人不同

虚拟定位、虚拟定位校验技术本身中性,且有现实专利申请及产品应用销售。
通过检索,虚拟定位及检测专利各举一例。
1.虚拟定位发明专利一则
深圳市金立通信设备有限公司的虚拟定位方法及终端发明专利申请(图1),申请公布号CN106339266A,申请公布日期2017.01.18,该申请虽于2019年3月19日撤回(图2),但其技术却在型号为金立M7的手机中实际应用。经检索,同期具有虚拟定位功能的手机还有:360 N6 PrO、摩托罗拉Moto Z模块化手机等(“虚拟定位”手机推荐-《计算机与网络》- 2018年3期,见图3)。当然,类似专利申请也有被驳回的,如青岛海信移动通信技术股份有限公司的申请公布号CN105848105A:一种定位信息的处理方法和装置于2019年12月20日被驳回。

图1

图2

图3

从该专利申请说明书可见(图4),其虚拟定位针对的是基站定位和WIFI定位,具备两种定位模式下的信息拦截单元,这里的信息拦截单元,也是虚拟定位APP是否破坏性程序争议的焦点。这里不得不提到一个技术词汇——Hook,英语是“钩子”的意思。又叫钩子函数,是计算机信息系统消息处理机制的一部分,通过钩子函数,应用程序可以在系统级钩取消息、事件,并加以处理,见图5。为了提高开发效率,不同系统、软件之间的API接口开放、调用已经成为常态,比如钉钉为了减小软件,在定位时可以直接调用高德、苹果、百度等不同导航软件的位置数据,导航软件通过通过接口调用,将位置数据像一封信件、一个信息一样告诉钉钉。此时,Hook函数就可以勾住这个信件、信息,在修改后反馈给钉钉,实现虚拟定位。
根据图示以及案例2的鉴定意见,可以印证大牛助手APP并未触及钉钉系统或者导航地图APP系统内部,而是钩取系统外数据加以修改后送达目标系统,判决认定为干扰是正确的。

图4

图5

2.虚拟定位检测专利一则
也正是因为虚拟定位技术的存在,反制技术也在不断完善,虚拟定位检测技术不断发展。当前,已经可以通过调取多接口、多时段、多变量技术手段判断终端是否外接硬件、是否虚拟定位。

然而,技术中性未必代表行为就合法。以Hook为例,根据作用范围的不同,还可以分为系统钩子和线程钩子,可以拦截所有进程的消息(系统钩子),或者拦截单个进程的消息(线程钩子),还可以调整参数进行自定义拦截、处理。工具掌握在人的手里,合法使用还是违反犯罪会有不同。

07

罪与非罪,回归案例

回到案例2,尽管一审、二审对于大牛助手APP是否破坏性程序意见相左,但均认定大牛助手APP具有外部干扰钉钉系统定位功能,并参考最高人民法院指导案例104号——对计算机信息系统外部干扰的行为可以构成破坏计算机信息系统罪。
问题在于,案例2的参考混淆了罪名、犯罪主体和具体行为。本案中,大牛助手开发运营者,仅仅是所谓的干扰工具的提供者,其行为是提供工具;认定本罪的干扰计算机信息系统行为的实施者——实行行为人,是使用大牛助手虚拟定位的钉钉用户,因此大牛助手的开发运营者不构成破坏计算机信息系统罪。
而根据二审评析意见,大牛助手APP具有著作权,不在钉钉系统内运行破坏,不属于破坏性程序,更不具有侵入、非法控制计算机信息系统的功能,不属于侵入、非法控制计算机信息系统的程序、工具。钉钉用户不具有对钉钉基于服务协议而采集的个人位置信息的真实性强制义务,使用大牛助手对个人信息的修改不具有行政、刑事违法性,大牛助手APP开发运营者,亦不符合“明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具”的情形。
除此之外,基于IP地址的定位,在利用工具翻墙情况下,也会出现地理位置虚假的情况,而随着对于翻墙技术原理认识的深入,越来越多涉及VPN翻墙的案件已经认定无罪。
文中案例3与案例2有所不同,读者可根据本文思路再行比较。

08

虚拟定位开发运营现状展现

最后,简单呈现一下虚拟定位软件的开发运营情况,罪与非罪仅凭读者判断。如果虚拟定位构罪,那下列相关公司均是漏网之鱼,利用虚拟定位软件进行诈骗、敲诈等已决案件中也存在漏案。

附:本文相关判例下载
链接:https://pan.baidu.com/s/1Y6pgthCy9WTFFYVGU0KEbg
提取码:XFHY
无计算机、软件相关精力,业余时间梳理成文,抛砖引玉,错漏难免,真诚欢迎批评指正,感谢点赞、关注、转发

文章来源: https://mp.weixin.qq.com/s?__biz=MzAwNDcwMDgzMA==&mid=2651048064&idx=1&sn=93376c5fa388eda58ca268f2adaea57b&chksm=80d08771b7a70e6728bf6eeff473b656288a0ac4f03f54b91577c4fe5cc2e02f84316a0cbf34&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh